SEC News

What's new arround internet

Last one

Src	Date (GMT)	Titre	Description	Tags	Stories	Notes
	2024-10-08 11:59:03	L'enquête SANS Institute 2024 révèle des progrès et des lacunes dans la cybersécurité ICS / OT pour les infrastructures critiques SANS Institute 2024 survey reveals progress and gaps in ICS/OT cybersecurity for critical infrastructure (lien direct)	Le SANS Institute a publié son enquête SANS 2024 ICS / OT Cybersecurity, mettant en évidence des progrès notables et des défis persistants dans ... The SANS Institute has released its SANS 2024 ICS/OT cybersecurity survey, highlighting notable advancements and persistent challenges in...	Industrial		★★
	2024-10-08 08:54:03	Tata Communications s\'associe à Palo Alto Networks (lien direct)	Tata Communications s'associe à Palo Alto Networks pour renforcer la cyber-résilience des entreprises Une alliance mondiale pour donner aux entreprises les moyens d'une cyberdéfense solide dans l'ère numérique actuelle. Une offre optimale, associée aux technologies de cybersécurité de pointe de Palo Alto Networks et à l'expertise industrielle approfondie de Tata Communications en matière de sécurité des réseaux et du cloud, de détection et de réponse aux cybermenaces et d'évaluation de la sécurité. Une collaboration pour offrir une sécurité unifiée des réseaux et du cloud, ZTNA 2.0 et SASE, en s'appuyant sur les plateformes de Palo Alto Networks. - Business	Industrial Cloud		★
	2024-10-08 05:14:51	Awaken Likho is awake: new techniques of an APT group (lien direct)	#### Géolocations ciblées - Russie ## Instantané Des chercheurs de Kaspersky ont identifié une campagne par le groupe APT Awaken Likho, également connu sous le nom de Core Werewolf, ciblant les agences gouvernementales russes et les entreprises industrielles. ## Description La campagne, active de juin à au moins août 2024, a marqué un changement de tactique, le groupe utilisant désormais Meshagent, un agent de la plate-forme Meshcentral légitime, au lieu de leur module Ultravnc précédemment utilisé pour l'accès à distance du système.L'implant a été livré via une URL malveillante, probablement des e-mails de phishing, et a été emballé dans une archive auto-extraite à l'aide de UPX. La chaîne d'attaque comprenait un script AutOIT exécutant deux fichiers, NetworkDrivers \ [. \] EXE et NKKA9A82KJN8KJHA9 \ [. \] CMD, pour assurer la persistance.NetworkDrivers \ [. \] EXE est un maillant qui interagit avec le serveur C2, tandis que le script CMD NKKA9A82KJN8KJHA9 \ [. \] Fortement obscurci crée une tâche planifiée nommée MicrosoftepDatDateTaskMachinems, qui exécute EdgeBrowser.CMD et Deletes traces de l'attaque.Les attaquants ont également utilisé un fichier de configuration, NetworkDrivers \ [. \] MSH, pour que Meshagent établisse une connexion avec le serveur Meshcentral. Sur la base des tactiques, des techniques et des procédures (TTPS) utilisées, de la victiologie et de l'évolution de leurs méthodes, Kaspersky attribue ces attaques pour éveiller likho.Le groupe est actif depuis le début du conflit russo-ukrainien et continue d'évoluer ses méthodes, indiquant que leur malware est toujours en développement et que d'autres attaques sont probables. ## Analyse Microsoft Meshagent est un Source ouverte [outil de gestion à distance] (https://security.microsoft.com/intel-explorer/articles/9782a9ef) qui a été exploité par divers acteurs de menace pour obtenir un accès non autorisé aux victimes \\ ''.Il peut collecter des informations système essentielles pour la gestion à distance et propose des fonctionnalités telles que la gestion de l'alimentation et du compte, le chat ou les fenêtres contextuelles de message, le transfert de fichiers et l'exécution des commandes.De plus, il prend en charge les capacités de bureau à distance basées sur le Web telles que RDP et VNC.Bien que les utilisateurs puissent utiliser cet outil de gestion légitime du système à distance, ces fonctionnalités sont également très attrayantes pour les acteurs malveillants.Par exemple, en mai, [Cisco Talos a rapporté] (https://security.microsoft.com/intel-explorer/articles/39e87f2a) sur une campagne de vol de données utilisant Meshagent avec Quaserrat pour compromettre des serveurs d'application vulnérables exposés à Internet.Et en mars, [Ahnlab Security Intelligence Center (ASEC) a rapporté] (https://asec.ahnlab.com/en/63192/) sur le groupe Andariel parrainé par l'État exploitant Meshagent pour cibler les solutions de gestion des actifs coréens. ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact de cette menace.Vérifiez la carte de recommandations pour l'état de déploiement des atténuations surveillées. - Passez en revue notre profil technique sur [Abus de surveillance à distance et d'outils de gestion] (https://security.microsoft.com/intel-explorer/articles/9782a9ef) pour bloquer et chasser des outils comme Meshagent. - Pilot et déploie [méthodes d'authentification résistantes à la phishing pour les utilisateurs.] (Https://learn.microsoft.com/en-us/entra/identity/authentication/concept-authentication-methods?ocid=Magicti_ta_learndoc) - Configurez Microsoft Defender pour Office 365 à [Rechercher les liens sur Click] (https://learn.microsoft.com/en-us/defender-office-365/safe-links-about?ocid=Magicti_TA_LearnDoc).Safe Links fournit une analyse et une réécriture des URL des e-mails entrants dans le flux de messagerie et une vérification du temps de clic des URL et	Malware Tool Threat Industrial	APT 45	★★★
	2024-10-07 19:22:45	CUCKOO SPEAR PARTIE 2: acteur de menace Arsenal CUCKOO SPEAR Part 2: Threat Actor Arsenal (lien direct)	## Snapshot Cybereason Security Services Team uncovered sophisticated capabilities of the Cuckoo Spear tools, NOOPLDR and NOOPDOOR. ## Description NOOPLDR variants, including NOOPLDR-DLL and NOOPLDR-C#, establish persistence by registering as services and injecting shellcode into system processes. NOOPLDR-DLL uses code obfuscation, dynamic custom syscalls, and modified legitimate DLLs to evade detection, while NOOPLDR-C# employs heavy obfuscation, time stomping, and executes C# code from XML files using msbuild.exe. Both loaders retrieve and decrypt shellcode from the registry or a .dat file, using AES encryption with keys derived from the machine\'s unique identifiers. NOOPDOOR malware, associated with NOOPLDR, has client and server components designed for stealth and persistence. The client-side features API hashing, anti-debugging, a domain generation algorithm (DGA), and a custom TCP protocol for data exfiltration. The server-side is capable of modifying firewall rules and executing commands for network pivoting. The campaign has ties to the well-known APT10 group, showing clear links between multiple incidents while revealing new tools and strategies employed by the attackers. Cuckoo Spear mainly targeted Japanese companies in the manufacturing, political, and industrial sectors, with cyber espionage as its primary goal. ## Microsoft Analysis Researchers at Cybereason assess the threat actor to be APT10. Microsoft tracks APT10 as [Purple Typhoon](https://security.microsoft.com/intel-profiles/e2ce50467bf60953a8838cf5d054caf7f89a0a7611f65e89a67e0142211a1745) Purple Typhoon (POTASSIUM), the activity group also known as APT 10, Stone Panda, Cloud Hopper, Red Apollo, or menuPass, has been reported to be responsible for global intrusion campaigns from 2006. These campaigns aimed to steal intellectual property and confidential business information from defense contractors and government agencies in the United States. The group was also observed launching attacks against a diverse set of other verticals, including communications, energy, space aviation. Notably, the group targeted managed service providers (MSPs) with presence in Brazil, Canada, Finland, France, Germany, India, Japan, Sweden, Switzerland, United Arab Emirates, and the United Kingdom. Compromising MSPs provided Purple Typhoon a launchpad for infiltrating organizations whose IT infrastructures and/or end-user systems are managed by these MSPs. Known to initially compromise targets via spear-phishing emails that deliver malicious payloads in the form of remote access trojans (RATs), the group steals administrator credentials to move laterally across target systems, maintain persistence, and exfiltrate high-value information. The malicious payloads typically utilized by Purple Typhoon include three main RATs called REDLEAVES, UPPERCUT and CHCHES. On December 17, 2018, the US government indicted two members of Purple Typhoon. On January 2, 2019, the Federal Bureau of Investigation shared indicators of compromise (IOCs) to aid in customer protection. Using these IOCs, which the security community further corroborated, along with Microsoft\'s own IOCs and telemetry, we have put in place enhanced detection mechanisms that can help guard against possible attacks coming from this group. ## Recommendations Apply these mitigations to reduce the impact of this threat. - Apply security updates to vulnerable VPN solutions. - Require multi-factor authentication (MFA) for local device access, RDP access, and remote connections through VPN. Use password-less solutions like [Microsoft Authenticator](https://www.microsoft.com/en-us/account/authenticator/). For further guidance, read about: - [Set up multi-factor authentication for Office 365](https://docs.microsoft.com/en-us/office365/admin/security-and-compliance/set-up-multi-factor-authentication?view=o365-worldwide) - [Use two-step verification with consumer accounts](https://support.microsoft.com/en-us/help/	Malware Tool Threat Industrial Cloud	APT 10	★★★
	2024-10-04 05:37:55	La recherche de cerf-volant noir révèle que 80% des entreprises manufacturières sont confrontées à des cyber-vulnérabilités critiques Black Kite Research Reveals 80% of Manufacturing Companies Face Critical Cyber Vulnerabilities (lien direct)	80% des sociétés manufacturières ont des vulnérabilités critiques, ce qui les présente à risque accru de cyberattaques.Ce fut l'une des conclusions du rapport Back Kite \\ 'S & # 160; 2024, les plus grands risques tiers de la fabrication.Black Kite est une entreprise tierce de cyber-risques.Les résultats découlent d'une analyse de près de 5 000 entreprises dans 10 fabrication [...] A staggering 80% of manufacturing companies have critical vulnerabilities, putting them at heightened risk of cyberattacks. This was one of the findings of Back Kite\'s 2024 report, The Biggest Third-Party Risks in Manufacturing. Black Kite is a third-party cyber risk intelligence business. The findings stem from an analysis of nearly 5,000 companies across 10 manufacturing [...]	Vulnerability Industrial		★★★★
	2024-10-02 21:38:53	La NSA publie 6 principes de cybersécurité OT NSA Releases 6 Principles of OT Cybersecurity (lien direct)	Les organisations peuvent utiliser ce guide pour prendre des décisions pour la conception, la mise en œuvre et la gestion des environnements OT afin de s'assurer qu'ils sont à la fois sûrs et sécurisés, ainsi que pour permettre la continuité des activités pour les services critiques. Organizations can use this guide to make decisions for designing, implementing, and managing OT environments to ensure they are both safe and secure, as well as enable business continuity for critical services.	Industrial		★★
	2024-10-02 19:22:29	Txone Networks dévoile la série de bords améliorés 2.1 pour la cybersécurité industrielle TXOne Networks unveils enhanced Edge Series 2.1 for industrial cybersecurity (lien direct)	> La société de sécurité cyber-physique (CPS) Txone Networks a annoncé la version 2.1 de sa série Edge Series d'appareils de sécurité de réseautage, ... >Cyber-physical systems (CPS) security company TXOne Networks announced Version 2.1 of its Edge series of networking security appliances,...	Industrial		★★
	2024-10-02 19:19:47	NOZOMI NETWORKS, DENEXUS INTÉRER LES PLAGLÈGES POUR SOINDER Nozomi Networks, DeNexus integrate platforms to boost cyber risk management for critical infrastructure (lien direct)	NOZOMI NETWORKS, un fournisseur d'OT (technologie opérationnelle) et de la sécurité IoT, et Denexus, un fournisseur de cyber-bend-und ... Nozomi Networks, a provider of OT (operational technology) and IoT security, and DeNexus, a vendor of end-to-end cyber...	Industrial		★★
	2024-10-02 19:15:16	Xona étend la concentration du secteur public pour améliorer la cybersécurité fédérale et la sécurité publique Xona expands public sector focus to enhance federal cybersecurity and public safety (lien direct)	> Xona, développeur de la plate-forme d'accès sécurisée Zero-Trust pour les opérations industrielles, l'infrastructure critique et le bord tactique, a annoncé mardi ... >Xona, developer of zero-trust secure access platform for industrial operations, critical infrastructure, and the tactical edge, announced Tuesday...	Industrial		★★
	2024-10-02 16:15:00	ACSC et CISA lancent les directives critiques de la cybersécurité ACSC and CISA Launch Critical OT Cybersecurity Guidelines (lien direct)	L'ACSC, en collaboration avec CISA et International Partners, a publié un guide pour sécuriser la technologie opérationnelle dans les secteurs critiques The ACSC, in collaboration with CISA and international partners, has released a guide for securing operational technology in critical sectors	Industrial		★★
	2024-10-02 15:38:15	Des pirates iraniens chargés pour _Hack-and-Leak_ Terrain pour influencer l'élection Iranian hackers charged for _hack-and-leak_ plot to influence election (lien direct)	#### Targeted Geolocations - United States - North America #### Targeted Industries - Political and other groups ## Snapshot Three Iranian hackers, Masoud Jalili, Seyyed Ali Aghamiri, and Yaser Balaghi, have been indicted for conducting a "hack-and-leak" campaign to influence the 2024 U.S. presidential election. Since at least May 2024, Iran-based hackers have increased their malicious cyber-enabled targeting of the 2024 U.S. presidential election. These intrusions have been reported as the work of [Mint Sandstorm](https://security.microsoft.com/intel-profiles/05c5c1b864581c264d955df783455ecadf9b98471e408f32947544178e7bd0e3). ## Description These hackers, working for Iran\'s Islamic Revolutionary Guard Corps (IRGC), targeted current and former U.S. officials, individuals associated with U.S. political campaigns, and media members to steal sensitive information. The operations, which began in January 2020, involved spearphishing and social engineering to access computers and accounts. By 2022, the hackers had expanded their efforts, targeting a former U.S. government official to steal personal information for identifying future victims. In May 2024, they shifted their focus to individuals connected to a U.S. presidential campaign, gaining unauthorized access to personal accounts and stealing campaign documents and emails. By late June they executed a \'hack-and-leak\' operation. The hackers sent unsolicited emails to individuals then associated with President Biden\'s campaign. The emails contained an excerpt taken from stolen, non-public material from former Trump\'s campaign as text. The hackers were able to conduct this operation by leveraging the use of VPNs and VPSs to hide their locations and create fraudulent email accounts to impersonate prominent figures The U.S. Department of Justice, along with the FBI, CISA, and the Office of the Director of National Intelligence, released statements condemning the actions and asserting ongoing efforts to prevent foreign interference in U.S. elections. The U.S. State Department is offering a $10 million reward for information on the indicted individuals, and the Treasury Department has imposed sanctions on Jalili for his involvement with the IRGC. ## Microsoft Analysis Microsoft Threat Intelligence assesses that this malicious activity is attributed to [Mint Sandstorm](https://security.microsoft.com/intel-profiles/05c5c1b864581c264d955df783455ecadf9b98471e408f32947544178e7bd0e3) based on our analysis of the IOCs and how the TTPs described in this report closely match previously observed Mint Sandstorm activity. Mint Sandstorm is a group run by the Islamic Revolutionary Guard Corps (IRGC) intelligence unit group known to primarily target dissidents protesting the Iranian government, as well as activist leaders, the defense industrial base, journalists, think tanks, universities, and government organizations. Microsoft has been tracking the emergence of significant influence activity by Iranian actors, detailed in the latest election report from the Microsoft Threat Analysis Center (MTAC), "[Iran steps into US election 2024 with cyber-enabled influence operations](https://security.microsoft.com/intel-explorer/articles/523c29ce)." Mint Sandstorm\'s recent activities exemplify a sophisticated cyber-espionage strategy aimed at influencing U.S. political processes. By targeting high-ranking officials within presidential campaigns through spear-phishing attacks, the group not only seeks to gather intelligence but potentially disrupt the political landscape. Recent targeting by the group is a reminder that senior policymakers should be cognizant of monitoring and following cybersecurity best practices even for legacy or archived infrastructure, as they can be ripe targets for threat actors seeking to collect intelligence, run cyber-enabled influence operations, or both. ## Recommendations Reducing the attack surface Microsoft 365 Defender customers can also turn on atta	Threat Industrial		★★
	2024-10-02 15:36:58	Why Adversaries Target VPN Appliances: The Pathway from IT to OT Cyber Attack (lien direct)	#### Géolocations ciblées - Amérique du Nord #### Industries ciblées - Énergie - Systèmes d'eau et d'eaux usées ## Instantané Dragos a identifié une campagne ciblant les réseaux d'infrastructures critiques en Amérique du Nord, notamment les secteurs électriques, pétroliers et gaziers, d'eau et d'eaux usées et de fabrication. ## Description Les adversaires effectuent une reconnaissance pour identifier les faiblesses du réseau et gagner un accès initial, en particulier via des appareils de réseau privé virtuel (VPN) comme Cisco SSL-VPN, Fortinet VPN et Palo Alto Global Protect VPN.Ils utilisent des tentatives de connexion par force brute avec un mélange de références aléatoires et authentiques, y compris celles des anciens employés, et exploitent l'infrastructure de serveur privé virtuel (VPS) hébergé par Stark Industries Solutions. La progression de l'attaque implique la numérisation des appareils exposés, la cartographie de l'architecture du réseau et l'identification des dispositifs critiques et des protocoles industriels tels que Modbus ou DNP3.Le vol d'identification est un objectif clé, atteint par la force brute, la réutilisation des informations d'identification, le phishing et l'utilisation de noms d'utilisateur légitimes.Cela permet aux adversaires d'établir de la persistance, de se déplacer latéralement et d'infiltrer potentiellement les environnements OT tout en se faisant passer pour des utilisateurs réguliers.Ils exploitent les réseaux et protocoles de communication erronés comme le protocole de bureau distant (RDP) et le bloc de messages (SMB), la recherche d'escalade de privilèges pour obtenir un accès au niveau administratif aux systèmes sensibles.La dernière étape de l'attaque pourrait impliquer le déploiement de logiciels malveillants spécifiques au système de contrôle industriel, la manipulation des systèmes de contrôle industriel ou le vol de la propriété intellectuelle. De plus, Dragos a identifié des cyber-acteurs ciblant les vulnérabilités connues dans les appareils réseau.Vulnérabilités dans Fortinet Fortios SSL-VPN ([CVE-2023-27997] (https://security.microsoft.com/intel-explorer/cves/cve-2023-2797/), [CVE-2024-21762] (https://security.microsoft.com/intel-explorer/cves/cve-2024-21762/), et [CVE-2024-23113] (https://security.microsoft.com/intel-profiles/cve-2024-23113)), et Ivanti Connect Secure ([CVE-2024-22024] (https://security.microsoft.com/intel-explorer/cves/cve-2024-22024/), [CVE-2023-46805] (https://sip.security.microsoft.com/intel-explorer/cves/cve-2023-46805/), et [cve- 2024-21887] (https://security.microsoft.com/intel-profiles/cve-2023-46805)) ont été identifiés comme étant exploitables par le groupe de menaces volzites pour accéder aux organisations industrielles au sein de la critique Inusterries.Dragos a observé les cyberav3ngers exploitant les vulnérabilités dans le pare-feu Sophos ([CVE-2022-3236] (https://security.microsoft.com/intel-explorer/cves/cve-2022-3236/) AND [CVE-2022-1040] (https://security.microsoft.com/intel-explorer/cves/cve-2022-1040/)) et un certain nombre de groupes de ransomware, y compris Lockbit, Blackbasta et Alphv Exploiting d'une vulnérabilitéDans Citrix Said ([CVE-2023-4966] (https://security.microsoft.com/intel-profiles/cve-2023-4966)) pour obtenir un accès non autorisé. ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact de cette menace.Vérifiez la carte de recommandations pour l'état de déploiement des atténuations surveillées. - Recherchez les utilisateurs nouvellement créés sur les appareils touchés par la vulnérabilité et étudiez les journaux de réseau privé virtuel (VPN) pour des preuves de modifications de configuration VPN ou d'activité de connexion lors de la fenêtre possible de compromis de périphériques non corrigés.L'application du correctif de sécurité ne corrige pas l'activité post-compromise par un acteur de menace ayant un accès	Ransomware Malware Tool Vulnerability Threat Industrial		★★★
	2024-10-02 14:41:03	Les réseaux de Nozomi et Denexus s'intègrent pour fournir des solutions avancées de gestion des cyber-risques pour les environnements industriels Nozomi Networks and DeNexus Integrate to Deliver Advanced Cyber Risk Management Solutions for Industrial Environments (lien direct)	NOZOMI NATSWORKS ET DENEXUS INTRESSIONS pour fournir des solutions de gestion des cyber-risques avancées pour les environnements industriels L'intégration stratégique est certifiée Nozomi Networks, permettant aux clients conjoints de gérer et de réduire les risques de cybersécurité parmi les environnements de technologie opérationnelle (OT) - Revues de produits Nozomi Networks and DeNexus Integrate to Deliver Advanced Cyber Risk Management Solutions for Industrial Environments Strategic integration is Nozomi Networks certified, enabling joint customers to manage and reduce cybersecurity risks among operational technology (OT) environments - Product Reviews	Industrial		★★
	2024-10-02 05:33:11	Les agences mondiales de cybersécurité publient un guide complet sur la sécurisation des systèmes d'infrastructure critique OT Global cybersecurity agencies release comprehensive guide on securing critical infrastructure OT systems (lien direct)	Les agences de cybersécurité d'Australie, des États-Unis et d'autres partenaires internationaux ont publié un guide décrivant six principes qui ... Cybersecurity agencies from Australia, the U.S., and other international partners have published a guide describing six principles that...	Industrial		★★★
	2024-10-02 03:49:23	Dragos étend la plate-forme ICS avec une nouvelle acquisition Dragos Expands ICS Platform with New Acquisition (lien direct)	L'ajout de la perception du réseau offrira aux dragos une visibilité, une conformité et une segmentation améliorées améliorées à la plate-forme de cybersécurité Dragos OT. The addition of Network Perception will provide Dragos with enhanced network visibility, compliance and segmentation analytics to the Dragos OT cybersecurity platform.	Industrial		★★
	2024-10-01 18:19:51	Cyber-acteurs iraniens ciblant les comptes personnels pour soutenir les opérations Iranian Cyber Actors Targeting Personal Accounts to Support Operations (lien direct)	#### Industries ciblées - agences et services gouvernementaux - Organisation non gouvernementale ## Instantané Dans un Advisory conjoint de la cybersécurité (CSA), le Federal Bureau of Investigation (FBI), U.S.Cyber Command - Cyber National Mission Force (CNMF), le Département du Trésor (Trésor) et le cyber-sécurité national du Royaume-Uni \\Le Centre (NCSC) a mis en garde contre la cyber-activité par des acteurs de menace liés au Corps de la Garde révolutionnaire islamique de l'Iran (IRGC). ## Description Ces acteurs ciblent principalement des individus liés aux affaires iraniennes et du Moyen-Orient, notamment des représentants du gouvernement, des membres du groupe de réflexion, des journalistes, des militants et des lobbyistes.Ils ciblent également les personnes impliquées dans des campagnes politiques américaines pour soutenir les opérations d'information. Ces acteurs utilisent des techniques d'ingénierie sociale, telles que l'identité de contacts de confiance par e-mail ou des plateformes de messagerie, pour voler des informations d'identification de connexion, dirigeant souvent les victimes vers de fausses pages de connexion.Ils peuvent également demander des codes d'authentification à deux facteurs.Généralement, ces acteurs tiennent à tirer parti des domaines d'intérêt ou de la pertinence pour les cibles et se font passer pour les personnes connues pour demander la fréquentation des allocutions, des conférences, des événements EMEBASSY et des dicussions de politique étrangère. ## Analyse Microsoft Microsoft attribue l'activité malveillante détaillée dans la CSA à [Mint Sandstorm] (https://security.microsoft.com/intel-profiles/05C5C1B864581C264D955DF783455ECADF9B98471E408 Procédures (TTPS) et indicateurs de compromis (CIO).L'acteur Microsoft suit en tant que Mint Sandstorm est un groupe d'activités affilié à l'Iran, actif depuis au moins 2013. Mint Sandstorm est connu pour cibler principalement les dissidents qui protestent contre le gouvernement iranien, ainsi que les chefs militants, la base industrielle de la défense, les journalistes, les tanks de réflexion,Les universités et plusieurs agences et services gouvernementaux, y compris des cibles en Israël et aux États-Unis. La tempête de sable de la menthe se concentre sur l'espionnage.L'acteur est connu pour obtenir un accès initial à partir de l'exploitation à grande échelle des dispositifs d'accès à distance aux campagnes de phisces de lance.Mint Sandstorm utilise également la récolte d'identification pour obtenir l'accès aux comptes de travail officiels ainsi qu'aux comptes personnels.Les outils précédents observés comprennent des logiciels malveillants sur les matières premières, tels que les voleurs d'informations.L'acteur a également été observé en développant des logiciels malveillants personnalisés, y compris leurs documents de phishing qui utilisent l'injection de modèle pour charger du contenu malveillant. ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact de l'activité associée aux opérations de Sandstorm \\ de la menthe. - Utilisez le simulateur d'attaque dans [Microsoft Defender pour Office 365] (https://learn.microsoft.com/microsoft-365/security/office-365-security/attack-simulation-training-silating) pour organiser réaliste, mais sûr, Simulater les campagnes de phishing et d'attaque de mot de passe dans votre organisation en formant les utilisateurs finaux contre les URL de cliquer dans des messages non sollicités et la divulgation de leurs informations d'identification.La formation doit inclure la vérification de la mauvaise orthographe et de la grammaire dans les e-mails de phishing ou l'écran de consentement de l'application \\ ainsi que les noms d'applications, les logos et les URL de domaine qui semblent provenir d'applications ou d'entreprises légitimes.Notez que les tests d'attaque du simulateur ne prend en charge que les e-mails de ph	Malware Tool Threat Industrial		★★
	2024-10-01 14:01:07	Dragos ramasse la perception du réseau pour améliorer la visibilité et la sécurité du réseau OT Dragos picks up Network Perception to enhance OT network visibility and security (lien direct)	> La société de cybersécurité industrielle Dragos a annoncé son acquisition de Network Perception, Makers of NP-View, une plate-forme de visualisation de réseau ... >Industrial cybersecurity firm Dragos has announced its acquisition of Network Perception, makers of NP-View, a network visualization platform...	Industrial		★★
	2024-10-01 10:30:00	L'acquisition de la perception du réseau renforce la cyber-défense industrielle avec la segmentation du réseau et l'analyse d'accès Network Perception Acquisition Strengthens Industrial Cyber Defense with Network Segmentation and Access Analysis (lien direct)	> DRAGOS a ajouté des capacités critiques pour protéger les environnements de technologie opérationnelle (OT) en acquérant la perception du réseau, les fabricants de NP-View, une prime ... Le message La perception du réseau se renforce industrielCyber Defense avec la segmentation du réseau et l'analyse d'accès est apparu d'abord sur dragos . >Dragos has added critical capabilities for protecting operational technology (OT) environments by acquiring Network Perception, makers of NP-View, an award-winning... The post Network Perception Acquisition Strengthens Industrial Cyber Defense with Network Segmentation and Access Analysis first appeared on Dragos.	Industrial		★★
	2024-09-30 16:43:59	Pourquoi les adversaires ciblent les appareils VPN: la voie de celui-ci à l'OT Cyber Attack Why Adversaries Target VPN Appliances: The Pathway from IT to OT Cyber Attack (lien direct)	> Les dragos ont récemment identifié une activité malveillante ciblant plusieurs réseaux d'infrastructures nord-américains critiques, principalement ceux appartenant à l'électricité, au pétrole et au gaz, ... Le message pourquoi les adversaires ciblentApplications VPN: la voie de celui-ci à l'OT Cyber Attack est apparue pour la première fois sur dragos . >Dragos recently identified malicious activity targeting multiple critical North American infrastructure networks, primarily those belonging to electric, oil and gas,... The post Why Adversaries Target VPN Appliances: The Pathway from IT to OT Cyber Attack first appeared on Dragos.	Industrial		★★★
	2024-09-30 12:07:46	Sygnia Gérée de détection et de réponse & # 8211;Offrir une meilleure détection Sygnia Managed Detection and Response – Delivering Better Detection (lien direct)	> Sygnia MDR offre une visibilité complète dans les environnements et OT pour rester en continu face à des menaces sans cesse en évolution. >Sygnia MDR provides complete visibility across IT and OT environments to stay Continuously Secure in the face of endlessly evolving threats.	Industrial		★★
	2024-09-29 08:07:57	Équilibrer les défis de la construction d'équipes efficaces de cybersécurité OT dans les environnements OT / ICS Balancing challenges of building effective OT cybersecurity teams across OT/ICS environments (lien direct)	> Les équipes de cybersécurité OT ont un rôle indispensable à jouer lorsqu'il s'agit de garder des installations d'infrastructures critiques à travers ... >OT cybersecurity teams have an indispensable role to play when it comes to guarding critical infrastructure installations across...	Industrial		★★
	2024-09-27 13:17:40	CISA alerte les opérateurs de CISA OT / ICS de cyber-menaces en cours, en particulier dans les systèmes d'eau et d'eaux usées CISA alerts OT/ICS operators of ongoing cyber threats, especially across water and wastewater systems (lien direct)	> L'Agence américaine de sécurité de cybersécurité et d'infrastructure (CISA) a publié mercredi une alerte de cybersécurité, mettant en évidence les efforts en cours pour ... >The U.S. Cybersecurity and Infrastructure Security Agency (CISA) issued a cybersecurity alert on Wednesday, highlighting ongoing efforts to...	Industrial Industrial		★★★
	2024-09-27 13:13:49	Les organisations australiennes entrent dans la dernière semaine de rapport pour le programme de gestion des risques d'infrastructure critique Australian organizations enter final week of reporting period for Critical Infrastructure Risk Management Program (lien direct)	Le Centre de sécurité australien de cyber et des infrastructures (CISC) a rappelé aux entités responsables de la dernière semaine de la déclaration ... The Australian Cyber and Infrastructure Security Centre (CISC) reminded responsible entities of the final week of the reporting...	Industrial		★★★
	2024-09-27 10:43:00	US DOE investit 23 millions de dollars dans dix projets pour stimuler la sécurité et la résilience du système énergétique US DOE invests $23 million in ten projects to boost energy system security and resilience (lien direct)	Le Département américain de l'Énergie (DOE) a annoncé un investissement de près de 23 millions de dollars dans dix projets visant ... The U.S. Department of Energy (DOE) announced an investment of nearly US$23 million in ten projects aimed at...	Industrial		★★★★
	2024-09-27 09:59:42	CS4CA Europe 2024: Informations sur la cybersécurité industrielle centrée sur l'homme de Londres CS4CA Europe 2024: Human-Centric Industrial Cybersecurity Insights from London (lien direct)	> Plus tôt cette semaine, j'ai assisté à l'événement CS4CA Europe à Londres, une conférence intensive de deux jours qui a rassemblé beaucoup ... >Earlier this week, I attended the CS4CA Europe event in London, an intensive two-day conference that gathered many...	Industrial Conference		★★
	2024-09-26 09:53:58	Le groupe israélien revendique le hack d'eau du Liban alors que la CISA réitère l'avertissement sur les attaques ICS simples Israeli Group Claims Lebanon Water Hack as CISA Reiterates Warning on Simple ICS Attacks (lien direct)	Les méthodes non sophistiquées peuvent encore être utilisées pour pirater les CI / OT - même ainsi, de nombreuses réclamations de cyberattaque sont probablement exagérées. Unsophisticated methods can still be used to hack ICS/OT - even so, many cyberattack claims are likely exaggerated.	Hack Industrial		★★
	2024-09-26 08:08:09	CISA avertit que les pirates ciblant les systèmes industriels avec des "méthodes non sophistiquées" au milieu des allégations de piratage d'eau du Liban CISA Warns of Hackers Targeting Industrial Systems with "Unsophisticated Methods" Amid Lebanon Water Hack Claims (lien direct)	L'Agence américaine de sécurité de la cybersécurité et de l'infrastructure (CISA) a averti que les pirates malveillants continuent d'être capables de compromettre les systèmes de contrôle industriel (CI) et d'autres technologies opérationnelles (OT) en utilisant des "méthodes non sophistiquées" - suggérant que beaucoup plus doit être fait à faire pourles fixer correctement.Hier, dans un avis publié sur le site Web de CISA \\, l'agence a déclaré que les systèmes industriels accessibles à Internet pourraient être vulnérables à un certain nombre de méthodes de compromis, notamment l'exploitation des informations d'identification par défaut et les attaques de force brute.Notamment, CISA a choisi de mettre en évidence particulièrement ... The US Cybersecurity and Infrastructure Security Agency (CISA) has warned that malicious hackers continue to be capable of compromising industrial control systems (ICS) and other operational technology (OT) using "unsophisticated methods" - suggesting that much more still needs to be done to secure them properly. In an advisory posted on CISA\'s website yesterday, the agency said that internet-accessible industrial systems could be vulnerable to a number of methods of compromise, including exploitation of default credentials and brute force attacks. Notably, CISA chose to particularly highlight...	Hack Industrial		★★
	2024-09-26 08:00:48	Paysage des menaces pour les systèmes d'automatisation industrielle, T2 2024 Threat landscape for industrial automation systems, Q2 2024 (lien direct)	Dans ce rapport, nous partageons des statistiques sur les menaces aux systèmes de contrôle industriel au T2 2024, y compris les statistiques par région, industrie, malware et autres types de menaces. In this report, we share statistics on threats to industrial control systems in Q2 2024, including statistics by region, industry, malware and other threat types.	Malware Threat Industrial		★★
	2024-09-25 12:18:21	CISA: Les pirates ciblent les systèmes industriels en utilisant des «méthodes non sophistiquées» CISA: Hackers target industrial systems using “unsophisticated methods” (lien direct)	La CISA a mis en garde aujourd'hui les acteurs de la menace essayant de violer les réseaux d'infrastructures critiques en ciblant les dispositifs industriels exposés à Internet en utilisant des méthodes "non sophistiquées" comme les attaques de force brute et les références par défaut.[...] CISA warned today of threat actors trying to breach critical infrastructure networks by targeting Internet-exposed industrial devices using "unsophisticated" methods like brute force attacks and default credentials. [...]	Threat Industrial		★
	2024-09-24 16:49:40	Cyolo Pro révolutionnant l'accès à distance avec une supervision intelligente pour OT Cyolo PRO revolutionizing remote access with Intelligent Supervision for OT (lien direct)	> Cyolo, un fournisseur de solutions d'accès à distance sécurisées, a annoncé Cyolo Pro (opérations à distance privilégiées) avec une supervision intelligente pour ... >Cyolo, a provider of secure remote access solutions, announced Cyolo PRO (Privileged Remote Operations) with Intelligent Supervision for...	Industrial		★★★
	2024-09-24 16:49:10	Emerson, les réseaux de Nozomi étendent la relation pour aider à sécuriser la puissance critique, les processus d'eau Emerson, Nozomi Networks extend relationship to help secure critical power, water processes (lien direct)	> La société mondiale de logiciels et de technologies Emerson et Nozomi Networks, un fournisseur d'OT (technologie opérationnelle) et IoT (Internet ... >Global software and technology company Emerson and Nozomi Networks, a vendor of OT (operational technology) and IoT (Internet...	Industrial		★★
	2024-09-24 11:06:20	Les pirates ciblent une usine de traitement de l'eau de l'Arkansas City, invitant à une enquête fédérale Hackers target Arkansas City water treatment plant, prompting federal investigation (lien direct)	La ville de l'Arkansas a signalé un incident de cybersécurité dans son usine de traitement de l'eau dimanche.Officiels du ... The City of Arkansas reported a cybersecurity incident at its water treatment plant early Sunday. Officials from the...	Industrial		★★★
	2024-09-23 16:05:03	Faits saillants hebdomadaires OSINT, 23 septembre 2024 Weekly OSINT Highlights, 23 September 2024 (lien direct)	## Snapshot Last week\'s OSINT reporting reveals a landscape dominated by complex, multi-layered attacks targeting critical infrastructure, financial sectors, and cloud environments. Nation-state actors, like China\'s Flax Typhoon and Iran\'s UNC1860, leverage botnets, IoT exploits, and sophisticated backdoors to infiltrate government, military, and industrial targets. The emergence of groups such as Earth Baxia highlights the continued exploitation of vulnerabilities like CVE-2024-36401 and spear-phishing tactics in the Asia-Pacific region. Meanwhile, cybercriminals, including SCATTERED SPIDER (Octo Tempest) and those behind the Lumma Stealer campaigns, utilize social engineering, fake CAPTCHA pages, and WebDAV for malware distribution to evade detection and deploy ransomware and infostealers. Exploits underscore the increasing use of open-source vulnerabilities, with attackers targeting a diverse range of industries, including IT, telecommunications, and finance. These attacks highlight evolving tactics, advanced persistence mechanisms, and stealthy malware being used to target sensitive data globally. ## Description 1. [Raptor Train Botnet Operated by Flax Typhoon](https://sip.security.microsoft.com/intel-explorer/articles/9118dcb6): Black Lotus Labs uncovered the massive Raptor Train botnet, operated by Chinese nation-state group Flax Typhoon. This IoT botnet, consisting of compromised routers, cameras, and other devices, has targeted U.S. and Taiwanese entities across sectors like military and government, making it one of the largest Chinese state-sponsored botnets to date. 2. [Exploitation of GeoServer Vulnerability (CVE-2024-36401)](https://sip.security.microsoft.com/intel-explorer/articles/e7a82171): Threat actors are exploiting a remote code execution (RCE) vulnerability in GeoServer to deliver malware such as GOREVERSE, SideWalk, and CoinMiner. Campaigns have targeted IT, telecom, and government sectors across multiple countries, using sophisticated backdoors and botnets to compromise systems. 3. [WebDAV Used to Distribute Emmenthal Loader](https://sip.security.microsoft.com/intel-explorer/articles/6dec4139): Cybercriminals are using WebDAV servers to distribute the Emmenthal loader (aka PeakLight), which delivers infostealers via malicious .lnk files. This infrastructure is likely part of a larger cybercrime operation offering infrastructure as a service (IaaS), and its stealthy, memory-only execution technique poses a significant threat to global cybersecurity. 4. [Iran\'s UNC1860 Targets Middle Eastern Networks](https://sip.security.microsoft.com/intel-explorer/articles/e882507d): Mandiant assesses UNC1860 is likely linked to Iran\'s Ministry of Intelligence and Security (MOIS) and focuses on persistent access to government and telecom organizations in the Middle East. The group leverages sophisticated tools, such as TEMPLEPLAY and VIROGREEN, and exploits internet-facing servers to evade detection. 5. [Cuckoo Spear Campaign Tied to APT10](https://sip.security.microsoft.com/intel-explorer/articles/8f34c36c): Cybereason discovered the "Cuckoo Spear" campaign, attributed to APT10, targeting Japanese manufacturing and political sectors. The attackers used advanced tools like LODEINFO and NOOPLDR to maintain long-term espionage operations, employing tactics like DLL side-loading and phishing. 6. [PondRAT Campaign Linked to North Korean Group](https://sip.security.microsoft.com/intel-explorer/articles/906408c8): Unit 42 identified the PondRAT campaign, attributed to Gleaming Pisces (Citrine Sleet), which targets Linux and macOS systems through infected PyPI packages. The goal is to compromise the supply chain, particularly in the cryptocurrency sector, by delivering backdoor malware to developers\' machines. 7. [Phishing Campaign Distributes Lumma Stealer](https://sip.security.microsoft.com/intel-explorer/articles/3cb5d189): A phishing campaign abuses GitHub repositories by filing false security vulnerability reports to lure users into downloading the Lumma Stealer malware. The	Ransomware Malware Tool Vulnerability Threat Mobile Industrial Prediction Cloud Conference	APT 10	★★
	2024-09-23 15:00:00	Étendre la sécurité alimentée par l'IA aux sites OT distants Extend AI-Powered Security to Remote OT Sites (lien direct)	La sécurisation des sites OT distantes peut être difficile.Découvrez comment l'extension LAN améliorée de Fortinet sécurise toute la surface d'attaque. Securing remote OT sites can be challenging. Learn how Fortinet\'s enhanced LAN extension secures the entire attack surface.	Industrial		★★
	2024-09-23 12:00:00	À quoi s'attendre à la Dragos Industrial Security Conference (DISC) en 2024 What to Expect at the Dragos Industrial Security Conference (DISC) in 2024 (lien direct)	> Il est difficile de croire que nous sommes à moins de deux mois du coup d'envoi de notre sécurité industrielle annuelle des dragos ... Le message à quoi s'attendre auDragos Industrial Security Conference (DISC) en 2024 est apparu pour la première fois sur dragos . >It\'s hard to believe we are less than two months away from the kickoff of our annual Dragos Industrial Security... The post What to Expect at the Dragos Industrial Security Conference (DISC) in 2024 first appeared on Dragos.	Industrial Conference		★★★
	2024-09-23 09:23:16	La FERC propose des normes de cybersécurité améliorées pour protéger les systèmes d'alimentation en vrac américains contre les menaces malveillantes FERC proposes enhanced cybersecurity standards to protect US bulk power systems from malicious threats (lien direct)	> La Federal Energy Regulatory Commission (FERC) des États-Unis a proposé d'exiger une protection critique d'infrastructure critique (CIP) ... >The U.S. Federal Energy Regulatory Commission (FERC) has proposed to require new or modified critical infrastructure protection (CIP)...	Industrial		★★★
	2024-09-22 07:55:36	Besoin de renforcer les mesures de gouvernance et de conformité pour renforcer la cybersécurité et la protection ICS Need to strengthen governance and compliance measures to bolster OT cybersecurity and ICS protection (lien direct)	> La gouvernance et la conformité sont cruciales en ce qui concerne la cybersécurité OT (technologie opérationnelle) dans la protection des circuits intégrés (contrôle industriel ... >Governance and compliance are crucial when it comes to OT (operational technology) cybersecurity in protecting ICS (industrial control...	Industrial		★★
	2024-09-20 17:30:25	Chinese botnet infects 260,000 SOHO routers, IP cameras with malware (lien direct)	## Snapshot Black Lotus Labs has discovered a large, multi-tiered botnet they refer to as Raptor Train, which is operated by the Chinese nation-state threat actors that Microsoft tracks as [Flax Typhoon](https://security.microsoft.com/intel-profiles/1d86849881abbb395d908d2739d9ad57e901d557fa8c25e0b3fd281e13764ff0). The botnet consists of small office/home office (SOHO) and IoT devices, and at its peak in June 2023, it consisted of over 60,000 actively compromised devices. ## Description Since June, there have been more than 200,000 SOHO routers, NVR/DVR devices, network attached storage (NAS) servers, and IP cameras, making it one of the largest Chinese state-sponsored IoT botnets discovered to-date. The botnet operators manage this large and varied network through a series of distributed payload and C2 servers, a centralized Node.js backend, and a cross-platform Electron application front-end that the actors have dubbed “Sparrow.” The botnet has targeted entities in the U.S. and Taiwan across various sectors, including military, government, higher education, telecommunications, defense industrial base, and IT. The Raptor Train botnet is a complex, multi-tiered network that has been evolving over the last four years. Black Lotus Labs has observed at least three tiers of activity, and several categories within each tier. During operations, bot tasks are initiated from Tier 3 “Sparrow” management nodes, which are then routed through the appropriate Tier 2 C2s and then sent to the bots themselves in Tier 1. The primary implant seen on most of the Tier 1 nodes, which Black Lotus Labs calls “Nosedive”, is a custom variation of the Mirai implant that is supported on all major SOHO and IoT architectures. ## Microsoft Analysis The actor Microsoft tracks as [Flax Typhoon](https://security.microsoft.com/intel-profiles/1d86849881abbb395d908d2739d9ad57e901d557fa8c25e0b3fd281e13764ff0) is a nation-state group from China, active since mid-2021. Flax Typhoon primarily targets sectors in Taiwan such as government, education, critical manufacturing, and IT, with occasional activities observed in Southeast Asia, North America, and Africa. Microsoft has [previously identified](https://security.microsoft.com/intel-explorer/articles/3a50641d) a pattern of malicious activity by Flax Typhoon targeting Taiwanese organizations and predicted that the techniques used could potentially be used globally. Their operations aim to infiltrate and maintain long-term access within targeted industries for ongoing espionage. ## Recommendations Microsoft recommends the following mitigations to reduce the impact of botnets. - [Restrict automatic prompts](https://support.microsoft.com/en-us/windows/automatic-file-download-notifications-in-windows-dc73c9c9-1b4c-a8b7-8d8b-b471736bb5a0) for non-user-initiated file downloads. - [Enable Safe Links](https://learn.microsoft.com/en-us/powershell/module/exchange/enable-safelinksrule?view=exchange-ps) protection for links in email messages. - [Enable Safe Attachments](https://learn.microsoft.com/en-us/powershell/module/exchange/set-safeattachmentrule?view=exchange-ps) in block mode. - Enable [Zero-hour auto purge (ZAP)](https://learn.microsoft.com/en-us/defender-office-365/zero-hour-auto-purge) in Office 365 to quarantine sent mail in response to newly-acquired threat intelligence and retroactively neutralize malicious phishing, spam, or malware messages that have already been delivered to mailboxes. - Run endpoint detection and response [(EDR) in block mode](https://learn.microsoft.com/en-us/defender-endpoint/edr-in-block-mode) so that Microsoft Defender for Endpoint can block malicious artifacts, even when your non-Microsoft antivirus does not detect the threat or when Microsoft Defender Antivirus is running ;in passive mode. Mitigation and protection guidance Defending against techniques used by Flax Typhoon begins with vulnerability and patch management, particularly on systems and services exposed to the public internet.	Spam Malware Tool Vulnerability Threat Industrial		★★
	2024-09-20 14:42:14	ForeScout OT Security SaaS offre une intelligence d'actifs, une gestion des risques, une détection des menaces pour les environnements hybrides Forescout OT Security SaaS offers asset intelligence, risk management, threat detection for hybrid environments (lien direct)	Cybersecurity Company FoStcout Technologies a annoncé FoStcout for OT Security, sa nouvelle solution de sécurité SaaS OT (Technology Operational) ... Cybersecurity company Forescout Technologies has announced Forescout for OT Security, its new SaaS OT (operational technology) security solution...	Threat Industrial Cloud		★★
	2024-09-20 13:20:01	CUCKOO SPEAR Part 1: Analyzing NOOPDOOR from an IR Perspective (lien direct)	#### Géolocations ciblées - Japon #### Industries ciblées - des groupes politiques et autres - Autres entités commerciales - Installations commerciales ## Instantané Des chercheurs de Cybearon ont découvert une campagne de menaces au niveau de l'État-nation nommée "Cuckoo Spear" qui a persisté sur les réseaux victimes pendant plusieurs années en utilisant des techniques sophistiquées. ## Description La campagne a des liens avec le groupe APT10 bien connu, montrant des liens clairs entre plusieurs incidents tout en révélant de nouveaux outils et stratégies utilisés par les attaquants.Cuckoo Spear a principalement ciblé les entreprises japonaises dans les secteurs de la fabrication, des politiques et industriels, avec le cyber-espionnage comme objectif principal. Les attaquants ont utilisé des logiciels malveillants furtifs, y compris une version mise à jour de Lodeinfo, un outil précédemment associé à l'APT10.Les chercheurs ont également identifié deux nouveaux composants de logiciels malveillants: NOOPLDR, une porte dérobée de persistance, et NOOPDOOR, qui a utilisé un algorithme de génération de domaine (DGA) pour les communications et le relais de réseau interne.Certaines victimes ont accueilli sans le savoir ces acteurs au sein de leurs systèmes jusqu'à deux à trois ans. L'accès initial aux réseaux cibles a été principalement réalisé grâce à des attaques de phishing, bien que la cyber-saison ait également observé que l'exploitation d'applications accessibles au public ait également été observée.Les attaquants ont utilisé des techniques avancées telles que le chargement latéral DLL et l'exploitation MSBuild pour maintenir la persistance. L'infrastructure derrière Cuckoo Spear a exploité les services DNS dynamiques et les domaines enregistrés pour gérerleur campagne.[Strike Cobalt] (https://security.microsoft.com/intel-profiles/fd8511c1d61e93d39411acf36a31130a6795efe186497098fe0c6f2ccfb920fc),Lodeinfo, NOOPLDR et NOOPDOOR ont tous joué des rôles dans le maintien de la persistance et l'activation du mouvement latéral à travers les environnements compromis, permettant aux attaquants de rester non détectés lors de l'exécution d'espionnage à long terme. ## Recommandations Appliquez ces atténuations pour réduire l'impact de cette menace.Vérifiez la carte de recommandations pour l'état de déploiement des atténuations surveillées. - Appliquer des mises à jour de sécurité aux solutions VPN vulnérables. - Exiger l'authentification multi-facteurs (MFA) pour l'accès des périphériques locaux, l'accès RDP et les connexions distantes via VPN.Utilisez des solutions sans mot de passe comme [Microsoft Authenticator] (https://www.microsoft.com/en-us/account/authenticator/).Pour plus de conseils, lisez sur: - [Configurer l'authentification multi-facteurs pour Office 365] (https://docs.microsoft.com/en-us/office365/admin/security-and-compliance/set-up-multi-factor-authentication?view=O365-mondial) - [Utilisez une vérification en deux étapes avec les comptes de consommation] (https://support.microsoft.com/en-us/help/12408/microsoft-account-how-to-use-setwo-tep-verrification) - Utilisez le pare-feu Microsoft Defender et votre pare-feu réseau pour empêcher la communication des appels de procédure distante (RPC) et un bloc de messages (SMB) entre les points de terminaison dans la mesure du possible.Cela limite le mouvement latéral ainsi que d'autres activités d'attaque. - Allumez la protection livrée par le cloud et la soumission automatique des échantillons sur Microsoft Defender Antivirus.Ces capacités utilisent l'IA et l'apprentissage automatique pour identifier et arrêter rapidement les menaces nouvelles et inconnues. - Pratiquez le principe du moindre privile et maintenez l'hygiène des références.Évitez l'utilisation des comptes de service au niveau de l'administration à l'échelle du domaine.Restreindre les privilèges administr	Malware Tool Threat Industrial Commercial	APT 10	★★
	2024-09-19 16:50:26	An Offer You Can Refuse: UNC2970 Backdoor Deployment Using Trojanized PDF Reader (lien direct)	#### Targeted Geolocations - United States #### Targeted Industries - Defense Industrial Base ## Snapshot In June 2024, Mandiant identified a cyber espionage group linked to North Korea, tracked as UNC2970. ## Description The group has been using phishing lures disguised as job opportunities in the energy and aerospace sectors to target high-level employees. These phishing attempts include tailored versions of legitimate job descriptions that are delivered to victims through email or WhatsApp. UNC2970 provides malicious archives containing an encrypted PDF and a modified version of the SumatraPDF viewer. When victims attempt to open the job description, they unknowingly activate malware, specifically the MISTPEN backdoor, delivered through the BURNBOOK launcher. Mandiant\'s investigation revealed that the attackers modified the open-source SumatraPDF application, though no inherent vulnerability in SumatraPDF was exploited. Once installed, the trojanized PDF viewer decrypts and displays the job description while executing the MISTPEN malware in the background. This malware, designed to steal sensitive information, operates through a series of complex infection stages, leveraging DLL hijacking and scheduled tasks for persistence. According to Mandiant, UNC2970\'s activities are part of broader efforts by North Korean actors to gather intelligence from critical infrastructure sectors. The company notes that UNC2790 has evolved its malware over time, adding features like network connectivity checks and persistent backdoor commands to enhance stealth and effectiveness. The group Mandiant tracks as UNC2970 is a cyber espionage group with possible links to North Korea. UNC2970\'s targeting victims are located in the United States, United Kingdom, The Netherlands, Cyprus, Sweden, Germany, Singapore, Hong Kong, and Australia. ## Microsoft Analysis Microsoft attributes the malicious activity reported by Mandiant to [Diamond Sleet](https://security.microsoft.com/intel-profiles/b982c8daf198d93a2ff52b92b65c6284243aa6af91dda5edd1fe8ec5365918c5) based on the tactics, techniques, and procedures. Microsoft has observed [Diamond Sleet using weaponized PDF readers](https://security.microsoft.com/intel-explorer/articles/30a8326f) including SumatraPDF, MuPDF, and Aloaha PDF Reader to target organizations, including users at aerospace and maritime manufacturing companies in Europe. Diamond Sleet is known to target media, defense, and information technology (IT) industries globally. Diamond Sleet focuses on espionage, theft of personal and corporate data, financial gain, and corporate network destruction. Diamond Sleet is known to use a variety of remote access tools (RATs) such as FoggyBrass, PhantomStar, and ZetaNile. Diamond Sleet is known to use social networking as the primary delivery vector, delivering spear phishing and drive-by compromises. Diamond Sleet has also used zero-day exploits for elevation of privilege and remote code execution (RCE). Microsoft has observed a number of additional threat groups with links to North Korea leveraging fake job opportunities and postings to trick users into downloading malware. In July 2024, Microsoft researchers observed the North Korean threat actor that Microsoft tracks as [Storm-1877 creating fraudulent websites](https://sip.security.microsoft.com/intel-explorer/articles/038db949), primarily to masquerade as video conferencing applications and blockchain related websites, that upon user interaction prompts a download that delivers browser data stealing malware. Storm-1877 has previously targeted software developers in a [campaign first identified by Palo Alto\'s Unit42 researchers](https://unit42.paloaltonetworks.com/two-campaigns-by-north-korea-bad-actors-target-job-hunters/) that used false job advertisements and required candidates to download malicious NPM packages on GitHub disguised as a tool to perform coding capabilities as a part of the virtual interview process. These malicious NPM	Malware Tool Vulnerability Threat Industrial Cloud		★★★
	2024-09-19 12:03:48	La plate-forme modulaire d'Otorio Titan redéfinit la cybersécurité opérationnelle et industrielle;résoudre l'évolution des demandes OTORIO Titan modular platform redefines operational and industrial cybersecurity; solve evolving demands (lien direct)	> Le fournisseur de solutions de sécurité OT Otorio a publié mercredi sa plate-forme Otorio Titan qui redéfinit la cybersécurité opérationnelle et industrielle .... >OT security solutions vendor OTORIO released on Wednesday its OTORIO Titan platform that redefines operational and industrial cybersecurity....	Industrial		★★★
	2024-09-18 13:47:50	CISA émet des conseils urgents sur les vulnérabilités ICS dans Siemens, Yokogawa, Millbeck Equipment CISA issues urgent advisories on ICS vulnerabilities in Siemens, Yokogawa, Millbeck equipment (lien direct)	> L'Agence américaine de sécurité de la cybersécurité et de l'infrastructure (CISA) a publié mardi trois avis ICS (systèmes de contrôle industriel), livrant ... >The U.S. Cybersecurity and Infrastructure Security Agency (CISA) published on Tuesday three ICS (industrial control systems) advisories, delivering...	Vulnerability Industrial		★★★★
	2024-09-17 17:34:31	Les données de la RCR rapportent que 32% une augmentation cette année, car le secteur mondial des soins de santé fait face à une augmentation des cyberattaques CPR data reports 32% rise this year, as global healthcare sector faces surge in cyberattacks (lien direct)	Selon les nouvelles données de Check Point Research (RCR) de janvier à septembre 2024, la moyenne hebdomadaire mondiale ... According to new data from Check Point Research (CPR) for January to September 2024, the global weekly average...	Studies Industrial Medical		★★★
	2024-09-17 15:31:56	Une attaque furtive furtive cible les participants du prochain événement de l'industrie de la défense américaine-Taiwan Stealthy Fileless Attack Targets Attendees of Upcoming US-Taiwan Defense Industry Event (lien direct)	#### Géolocations ciblées - États-Unis - Taiwan ## Instantané Des chercheurs de Cyble Research and Intelligence Labs (CRIL) ont découvert une campagne ciblant les individus liés à la prochaine conférence de l'industrie de la défense des États-Unis. ## Description Les attaquants utilisent un fichier zip contenant un fichier LNK déguisé en formulaire d'enregistrement PDF légitime pour la conférence.Lorsqu'elle est ouverte, le fichier LNK extrait un PDF de leurre et un exécutable codé en base64, plaçant l'exécutable dans le dossier de démarrage pour établir la persistance.Lors du redémarrage, l'exécutable télécharge un contenu malveillant supplémentaire, en l'exécutant directement en mémoire pour échapper à la détection par des outils de sécurité traditionnels.Le chargeur de première étape déclenche une deuxième étape qui compile et exécute le code C # en mémoire, empêchant les fichiers traçables d'être créés sur le disque. L'objectif de ce logiciel malveillant est d'exfiltrer les données sensibles au serveur de l'attaquant \\ via des demandes Web masquées pour ressembler à un trafic normal.Bien que le vecteur d'infection initial ne soit pas clair, les chercheurs de Cyble évaluent le document de leurre suggère que la campagne vise à voler de précieuses informations liées à la défense dans le cadre de la prochaine conférence.Cette méthode d'exécution en mémoire complique la détection et augmente le risque de vol de données. ## Analyse Microsoft Les logiciels malveillants sans fidèle, également appelés logiciels malveillants basés sur la mémoire, présente un défi important pour les équipes de sécurité en raison de sa capacité à échapper aux méthodes de détection traditionnelles.Contrairement à des logiciels malveillants conventionnels, les logiciels malveillants sans fil ne reposent pas sur des fichiers stockés sur un disque dur, ce qui rend difficile le détection d'antivirus, de sable et d'analyse basé sur l'apprentissage automatique. Ce type de logiciels malveillants opère souvent dans des programmes de confiance et légitimes comme PowerShell ou Windows Scripting Tools, en les tirant parti des activités malveillantes sans laisser de trace sur le disque.En exploitant la confiance placée dans ces applications de liste blanche, les logiciels malveillants sans fil peuvent se déplacer latéralement sur les réseaux, éviter les soupçons et rester non détectés pendant de longues périodes.Ce comportement furtif le rend particulièrement insidieux et efficace, permettant aux attaquants de maintenir la persistance et d'exécuter leurs objectifs tout en contournant la plupart des défenses de sécurité. Lire [maintenant vous me voyez: exposer les logiciels malveillants sans fil] (https://www.microsoft.com/en-us/security/blog/2018/01/24/now-you-see-me-expose-filless-malware/) et [hors de vue mais pas invisible: vaincre les logiciels malveillants sans fil avec la surveillance du comportement, AMSI et Next-Gen AV] (https://www.microsoft.com/en-us/security/blog/2018/09/27/hors de la petite-la-la-la-la-la-la-la-vie sans malgré sans-malveillance-avec-faire-monitoring-amsi-and-next-gen /) sur le blog de sécurité de Microsoft \\ pour en savoir plus sur la façon dont Microsoft \Les solutions de sécurité de \ peuvent être utilisées pour lutter contre les menaces à partir de logiciels malveillants sans fil. ### Microsoft Defender Antivirus Microsoft Defender Antivirus détecte les composants de la menace comme logiciel malveillant suivant: - [HackTool: Win32 / Autokms] (https://www.microsoft.com/en-us/wdsi/thereats/malware-encycopedia-dercription?name=hacktool: win32 / autokms) - [Trojan: Win32 / Killav] (https://www.microsoft.com/en-us/wdsi/Therets/Malware-encyClopedia-dercription?name=trojan:win32/killav.dr) - [Trojan: win32 / znyonm] (https://www.microsoft.com/en-us/wdsi/Threats/Malware-encycopedia-DEscription? Name = Trojan: Win32 / Znyonm! IC) ##	Malware Tool Threat Industrial Conference		★★★
	2024-09-16 06:00:37	Hunters International réclame la violation de l'ICBC Londres Hunters International Claims Breach of ICBC London (lien direct)	Le groupe Ransomware, Hunters International, aurait revendiqué la responsabilité d'une violation de la succursale de Londres de la Banque industrielle et commerciale de Chine (ICBC), l'une des plus grandes banques publiques de Chine.Selon le groupe, ils ont exfiltré 6,6 téraoctets de données, comprenant plus de 5,2 millions de fichiers.Le gang a reçu un délai de rançon de & # 160;[...] The ransomware group, Hunters International, has reportedly claimed responsibility for a breach at the London branch of the Industrial and Commercial Bank of China (ICBC), one of China’s largest state-owned banks. According to the group, they have exfiltrated 6.6 terabytes of data, comprising over 5.2 million files. The gang was given a ransom deadline of [...]	Ransomware Industrial Commercial		★★
	2024-09-15 10:28:45	La réalisation de l'intégration IT-OT se présente comme une étape critique pour l'efficacité et la sécurité industrielles Achieving IT-OT integration emerges as critical step for industrial efficiency and security (lien direct)	> L'intégration des environnements et des OT est devenue un aspect essentiel du monde industriel moderne et en évolution rapide, soutenant le ... >Integrating IT and OT environments has become a critical aspect of the modern, fast-changing industrial world, supporting the...	Industrial		★★
	2024-09-12 09:21:54	La CISA prévient les vulnérabilités ICS dans Viessmann, ININET, Rockwell Automation, BPL Medical Technologies CISA warns of ICS vulnerabilities in Viessmann, iniNet, Rockwell Automation, BPL Medical Technologies (lien direct)	> L'Agence américaine de sécurité de la cybersécurité et de l'infrastructure (CISA) a publié mardi quatre avis ICS (systèmes de contrôle industriel), fournissant ... >The U.S. Cybersecurity and Infrastructure Security Agency (CISA) published four ICS (industrial control systems) advisories on Tuesday, providing...	Vulnerability Industrial Medical		★★★★
	2024-09-11 18:00:09	Hunters International prétend Ransom sur le siège de Londres de la méga-banc chinoise \\ Hunters International claims ransom on Chinese mega-bank\\'s London HQ (lien direct)	aurait glissé plus de 5,2 millions de dossiers et menace de publier le lot Ransomware Gang Hunters International aurait volé plus de 5,2 millions de fichiers appartenant à la branche londonienne de la Banque industrielle et commerciale de Chine(ICBC), une société bancaire et des services financiers d'État chinoise, et a établi une date limite du 13 septembre pour publier toutes les données.… Allegedly swiped more than 5.2M files and threatens to publish the lot Ransomware gang Hunters International reportedly claims to have stolen more than 5.2 million files belonging to the London branch of the Industrial and Commercial Bank of China (ICBC), a Chinese state-owned bank and financial service corporation, and set a deadline of September 13 to release all the data.…	Industrial Commercial		★★★
	2024-09-11 17:11:44	Colortokens acquiert Pureid ColorTokens Acquires PureID (lien direct)	ColortOkens acquiert PureID pour renforcer la plate-forme de microsegmentation Xshield avec une puissante segmentation basée sur l'identité moteur d'identité basé sur AI de PureID \\ pour alimenter les améliorations de sécurité de Next-Gen pour les environnements IoT / OT, cloud, conteneur et utilisateur - nouvelles commerciales ColorTokens Acquires PureID to Strengthen Xshield Microsegmentation Platform with Powerful Identity-Based Segmentation PureID\'s AI-Based Identity Engine to power ColorTokens\' Next-Gen Security Enhancements for IoT/OT, Cloud, Container, and User Environments - Business News	Industrial Cloud		★★

Last update at: 2025-05-12 04:52:44
See our sources.

To see everything: Our RSS (filtrered)